DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Trojan.Win16.BadSector

Kategorie Trojan
Plattform Win16
Beschreibung

Technische Details

Dieser Trojaner wurde im August 1998 an mehrere Internet-Newsgroups gesendet. Der Trojaner selbst ist eine ausführbare 25-KB-Windows-Datei (NE-Format), die in Pascal geschrieben wurde. Es greift auf das Netzwerk zu und sendet zufällige Nachrichten an das Internet.

Wenn der Trojaner zum ersten Mal ausgeführt wird, installiert er sich selbst im System. Er kopiert sich mit dem Namen SHELL32.EXE in das Windows-Systemverzeichnis und registriert sich in der Systemregistrierung im Abschnitt HKEY_LOCAL_MACHINE:


SOFTWAREMicrosoftWindowsCurrentVersionRun shell32.exe
Der Trojaner endet dann ohne Nebenwirkungen. Beim nächsten Neustart bleibt der Trojaner im Windows-Speicher als versteckte Aufgabe, schläft und initiiert regelmäßig Windows Socket-APIs und öffnet einen Stream-Socket mit TCP / IP-Protokoll zum Senden von Nachrichten.

Die Nachrichten haben zufällig Adressen, Betreff und Daten ausgewählt. Die "Mail From" -Adresse ist zufällig aus folgenden Teilen aufgebaut:

  • prodigy compuserve kurva putka gerry tetra europa amstel usa bulgarien badsector hacker omega vali-pedali euret digsys
  • Haupt vt Linux Aix Unix Mail www Host Abc Server Veliko-Teer
  • com edu org mil gov netto bg tr gr uk ca ro jp
Die Adresse "RCPT To" wird zufällig aus folgenden Varianten ausgewählt:

Gerry@tetra.bg
administrator@tetra.bg
tetranet@tetra.bg
root@vt.bitex.com
peterc@vt.bitex.com
ivanp@vt.bitex.com
root@tarnovo.enet.bg
master@tarnovo.enet.bg
webmaster@tarnovo.enet.bg
root@server.vt.bia-bg.com
webmaster@mail.vt.bia-bg.com
webmaster@tetra.bg
Das Thema wird zufällig aus folgenden Varianten ausgewählt:

Hahaha
Schlechter Sektor wi razkaza igrata :))
Grüße aus dem schlechten Sektor! Po-zdrawi
Vleze li mit Sega?
Re
Hallo, kak e?
Ko staa, ima Problem li
Schlechter Sektor
Kogato grum udari …
etc.
Die Sätze des Nachrichtenkörpers sind zufällig aus einer großen Menge von Verben, Wörtern und Untersätzen zusammengesetzt, teilweise sind sie unhöflich, meistens sind sie auf Bulgarisch. Es gibt keinen Grund, sie alle hier aufzulisten.


Link zum Original